Блокировка свободных IP на dhcp сервере

[kac]

есть dhcp сервер, есть зарезервирование ір адреса по маку и есть свободные ip адреса их нужно заблокировать.
какие будут предложения?

[oermolaev]

так не выделяйте их   

[kac]

хочу убрать возможность к несанкционированному подключению к сети и  шарам

[oermolaev]

хочу убрать возможность к несанкционированному подключению к сети и  шарам

с помощью dhcp-сервера? а если злоумышленник вручную забьет параметры сети?

[kac]

а если злоумышленник вручную забьет параметры сети?

вот именно, никто ж злоумышленнику этого ж не запретит. нужно если даже он пропишет ip должна быть занята!!

[oermolaev]

Может маской сети тогда поиграть?
Network:   192.168.0.0/29
HostMin:   192.168.0.1   
HostMax:   192.168.0.6   
Broadcast: 192.168.0.7   
Hosts/Net: 6
Это, например, на шесть узлов. Но как это в реале будет работать - не пробовал.

[Karl500]

Если злоумышленник вручную пропишет IP, то возможны два варианта. Первый - хост с соответствущим MAC выключен, и тогда ничто не помешает злоумышленнику. Второй - хост с соответствующим IP включен. Конфликт IP-адресов со всеми вытекающими (по крайней мере для легального хоста).

Забудьте про идею запрещать что-либо кому-либо при помощи DHCP. Это просто не работает.

[kac]

а если использовать blacklist whitelist? и блокировать по iptables?

[Karl500]

Если учесть, что MAC сменить столь же легко, что и IP-адрес... (продолжите сами).
Пользователь решил продолжить мысль 04 Декабря 2012, 17:00:42:Как альтернативу запрету возьму на себя смелость предложить средство контроля - arpwatch.

[drako]

хочу убрать возможность к несанкционированному подключению к сети и  шарам

Поставьте умный свитч. Отключите на нем неиспользуемые порты и привяжите по макам+ip или просто по макам остальные порты к компьютерам.

P.S. Правда все равно остается возможность подмены мака с подключением к порту, у которого этот мак разрешен. Но это уже уровень физической(силовой) безопастности.

[kac]

Поставьте умный свитч. Отключите на нем неиспользуемые порты и привяжите по макам+ip или просто по макам остальные порты к компьютерам.
P.S. Правда все равно остается возможность подмены мака с подключением к порту, у которого этот мак разрешен. Но это уже уровень физической(силовой) безопастности.

так прописал адреса по макам, отключил доступнось другим, сейчас борюсь с правилами в iptables.

[Витька]

а если использовать blacklist whitelist?

по маку и блокировать, если у злоумышленника нет возможности узнать мак устройства из белого списка. По крайней мере дома у меня блокировка по маку с белым списком.

[kac]

а если использовать blacklist whitelist?

по маку и блокировать, если у злоумышленника нет возможности узнать мак устройства из белого списка. По крайней мере дома у меня блокировка по маку с белым списком.

только если работают продвинутые пользователи))

[Витька]

ну дома-то непродвинутая жена и предположительно злоумышленники соседи))

[kac]

у меня около 100 пользователей!